Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Жертвы вымогателя Clop для Linux на протяжении нескольких месяцев бесплатно расшифровывали свои данные (http://txgate.io:443/showthread.php?t=10632)

Artifact 04-22-2025 07:32 PM

Досадный недочёт в коде шифровальщика не позволил хакерам как следует заработать.
https://www.securitylab.ru/upload/ib...n1r5xszq2k.jpg
Банда вымогателей под названием Clop уже несколько месяцев использует в своих атаках одноимённый шифровальщик, нацеленный на серверы Linux. Однако ошибка в схеме шифрования позволила жертвам в течение нескольких месяцев незаметно восстанавливать свои файлы, причём абсолютно бесплатно.
Данная версия Clop для Linux была обнаружена в декабре 2022 года Антонисом Терефосом, исследователем из SentinelLabs. Вредонос был выявлен после того, как группировка использовала его вместе с аналогичным вариантом для Windows при атаке на один из университетов Колумбии.
Несмотря на то, что версии для Linux и Windows очень похожи, поскольку обе используют один и тот же метод шифрования и почти идентичную логику процесса, всё же есть некоторые различия, в основном обусловленные разной структурой операционных систем.
Вредоносная программа Clop для Linux пока что находится на ранней стадии разработки, поскольку в ней всё ещё отсутствуют надлежащие механизмы запутывания и уклонения от систем безопасности. Также специалисты SentinelLabs обнаружили в ней забавный недостаток, который позволяет жертвам восстановить все свои файлы, не платя мошенникам никаких денег.
Всё дело в том, что текущая версия для Linux использует жёстко запрограммированный RC4 мастер-ключ для генерации ключей шифрования файлов. Более того, этот же мастер-ключ затем «шифрует сам себя» и сохраняется в локальный файл на диске.
Эта слабая схема абсолютно не защищает ключи от свободного извлечения и последующей расшифровки файлов, что и сделали в SentinelLabs. Расшифровывающий скрипт представители компании выложили на GitHub .
https://www.securitylab.ru/upload/me...kmh3ypobxv.png
Недочёт в схеме шифрования
В дополнение к отсутствию защиты ключа, SentinelLabs также обнаружила, что при записи зашифрованного ключа в файл, вредоносная программа записывает и некоторые дополнительные данные. Например сведения о файле, такие как его размер и время шифрования. Эти данные также должны быть скрыты, поскольку могут быть использованы специалистами для расшифровки файлов.
https://www.securitylab.ru/upload/me...1wk1skin6k.png
Запись RC4 и дополнительных данных в файл
Программа-вымогатель Clop для Linux вряд ли станет широко распространенной угрозой в её нынешнем виде. Выпуск дешифратора, вероятно, подтолкнет авторов Clop к доработке программы и выпуску улучшенной версий с надлежащей схемой шифрования.
SentinelLabs сообщили, что уже поделились своим дешифратором с правоохранительными органами, чтобы они смогли помочь жертвам атаки восстановить свои файлы.


All times are GMT. The time now is 09:52 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.